Исследователи безопасности Алекс Ионеску (Alex Ionescu) и Ярден Шафир (Yarden Shafir) опубликовали подробности об уязвимости в диспетчере печати Windows, затрагивающей все версии ОС, начиная с выпущенной с 1996 году Windows NT 4.
Уязвимость CVE-2020-1048 , названная исследователями PrintDemon, присутствует в отвечающем за печать компоненте Windows Print Spooler. Диспетчер отправляет данные для печати на USB/параллельный порт физического принтера, TCP-порт принтера в локальной сети или в интернете или локальному файлу (в случае, если пользователь хочет отложить печать).
Обнаруженная исследователями уязвимость локального повышения привилегий позволяет взломать внутренний механизм Print Spooler. Злоумышленник с доступом к приложению или Windows-ПК даже на уровне обычного пользователя может запустить непривилегированную PowerShell-команду и получить привилегии администратора на атакуемой системе.
Уязвимость существует из-за принципа работы диспетчера. Поскольку Print Spooler должен быть доступным для любого приложения, желающего напечатать файл, он доступен для всех приложений на системе без каких-либо ограничений. Злоумышленник может инициировать процесс печати, умышленно вызвать аварийное завершение работы Print Spooler, а затем возобновить ее, но тогда процесс печати будет запущен с привилегиями системы с возможностью читать и записывать файлы в любом месте операционной системы.
Для эксплуатации уязвимости в актуальных версиях Windows достаточно одной строки PowerShell, но для более старых потребуется нечто посложнее. Патч для проблемы был выпущен в рамках «вторника исправлений» Microsoft 13 мая 2020 года.
Уязвимость была обнаружена специалистами компании SafeBreach Labs Пелегом Хадаром (Peleg Hadar) и Томером Баром (Tomer Bar), сообщившим о ней Microsoft. Алекс Ионеску также опубликовал PoC-эксплоит для PrintDemon.